C++项目总四之内存溢出造成的诡异函数调用

在你的项目或程序中有没有遇到过，我们明明是调用功能模块A，却很诡异的的调用了模块B；并且A没有直接或间接的调用B。下面我们通过一个简单的实验来展示这种现象。

程序1:

#include <stdio.h>
#include <string.h>
int main();
void func2()
{
printf("func2\n");
}
void func1()
{
char str[5] = {0};
int tmpVal = (int)(func2);
memcpy(str+20,&tmpVal,sizeof(tmpVal));
printf("func1\n");
}
int main()
{
func1();
return 0;
}

上面的程序是在win7操作系统，vs2008编译环境，关闭优化选项的release版本下实验的。不同版本vs编译器或操作系统都有可能影响实验结果。首先我们直接来看下程序运行结果



图1



图2

程序非常诡异的输出了func1和func2，之所以称为诡异；是因为在我们的main函数中我们只调用了func1，代码中并没有调用func2函数。其实上面的情况就是由于对数组的越界操作引起的；分析func1中的代码int tmpVal = (int)(func2);这句是获取func2的地址然后放到临时变量中；memcpy(str+20,&tmpVal,sizeof(tmpVal));将获取的func2地址的值(共4字节)从临时变量str开始偏移20字节的地方。问题就出现在这个地方，因为str+20开始处的4字节原本存放的是在main函数中调用完func1后的返回地址，现在我们通过memcpy把这个值改成了func2的地址。就造成了我们的程序输出了func1和func2，同时我们的返回也造成了函数栈帧的不平衡，所以出现的Access violation错误（后面我们通过反汇编进行分析）。所以在我们的程序中如果出现了上面的诡异情况，基本上可以判断是你的程序存在内存越界写入数据，而写入的数据恰好又是你程序中某个函数的地址。

下面我们通过反汇编来对上面的程序进行分析；下面的程序需要有一点汇编的基础，不过下面的分析并不重要，我们只需要记得程序中出现诡异调用，第一时间想到内存越界存储就行。

首先使用ollydbg加载我们写的测试程序test.exe，定位到main函数，由于程序是我们自己编译的，会生成pdb文件。ollydbg根据pdb文件可以很容易找到main函数。如下图所示为main函数对应汇编代码。



图3

按f7快捷键进入到func1中；下面是func1函数实现。



图4

此时栈顶的信息如下：如不出意外程序执行完成后返回到地址00401078处，而该地址正好是main函数中调用func1的下一条汇编。



图5

当我们把汇编执行到func1的retn指令时再看此时栈顶的数据为401000，ollydbg帮我们标好了这就是函数func2。如果我们在func1中再继续执行，就会执行func2(401000地址)的代码。



图6

func2汇编代码如下：



图7

当我们再执行到401012处时，再看此时的栈顶数据如下图



图8

在401012处如果再继续执行代码就会执行0018FF88地址处的代码;而该处地址不是进程的代码空间，所以就会造成访问错误。也就是图2中的错误